Do roku 2024 budou tři čtvrtiny CEO osobně odpovědny za kyber-fyzické incidenty
Lze očekávat, že finanční dopady útoků na kyber-fyzické systémy s fatálními následky v příštích letech porostou, a tak se i odpovědnost za tyto incidenty posune z podnikové do osobní roviny a dotkne se až 75 % CEO a generálních ředitelů v podnicích.
Vzhledem k povaze kyber-fyzických systémů (CPSs, Cyber-Physical Systems) mohou vést útoky a incidenty ke zraněním osob, škodám na majetku nebo environmentálním haváriím. Analytici Gartneru předpovídají, že v nadcházejích letech prudce naroste počet incidentů, které se těchto systémů týkají – zejména kvůli malému zájmu o jejich bezpečnost a podinvestovanosti ochrany těchto aktiv.
Gartner definuje kyber-fyzické systémy jako takové, jež byly navrženy pro koordinaci snímání, výpočtů, ovládání, komunikace a analytiky pro potřeby interakce s fyzickým světem (včetně lidí). Zahrnují tak všechna připojená zařízení v oblasti IT, OT (provoz) a IoT (internet věcí), kde se bezpečnostní aspekty dotýkají kybernetického i fyzického prostředí – například klíčová infrastruktura či klinická prostředí v oblasti zdravotní péče.
„Regulátoři a vlády budou nuceni rychle reagovat na rostoucí počet závažných incidentů souvisejících s neschopností zabezpečit kyber-fyzické systémy, to povede k dramatickému nárůstu pravidel a regulací, které se jich dotýkají,“ vysvětluje Katel Thielemann, viceprezidentka Gartneru.
„V USA již FBI, NSA a CISA (Cybersecurity and Infrastructure Security Agency) zvýšily četnost a podrobnost zpráv o hrozbách týkajících se klíčových infrastrukturních systémů, z nichž většinu provozují soukromé subjekty. Brzy nastane situace, kdy se jejich CEO nebudou moci hájit nevědomostí nebo se ukrýt za pojistné smlouvy.“
Gartner předpovídá, že finanční dopady útoků na kyber-fyzické systémy vedoucích až k obětem na životech, dosáhnou v roce 2023 výše 50 miliard dolarů. To znamená, že i když se nepokusíme vyčíslit hodnotu lidských životů, náklady, jež na organizace dopadnou v podobě kompenzací, soudních sporů, pojištění, regulatorních pokut a ztráty dobrého jména budou zásadní.
„Lídři odpovědní za technologie by měli pomoci CEO pochopit, jaká rizika souvisejí s kyber-fyzickými systémy a proč je nutné věnovat jim pozornost a vyčlenit prostředky na jejich ochranu,“ vysvětluje Thielemannová a dodává: „Čím propojenější kyber-fyzické systémy jsou, tím větší je pravděpodobnost incidentu.“
S dalším rozvojem provozních technologií, chytrých měst, připojených aut a autonomních vozidel budou mít incidenty v digitálním světem mnohem větší dopad na svět fyzický – rizika, hrozby a zranitelnosti nyní existují v obousměrném kyber-fyzickém spektru. Řada podniků si ale neuvědomuje, kolik kyber-fyzických zařízení již dnes využívají, ať už proto že dané (například historické) systémy připojili k podnikové síti lidé mimo IT oddělení, nebo v důsledku nových automatizačních a modernizačních iniciativ řízených přímo byznysem.
„Firmy se musí zaměřit na řízení provozní odolnosti – ORM (Operational Resilience Management), kybernetická bezpečnost orientovaná na IT a informace již dnes nestačí,“ uzavírá.